flatpak : est-ce fiable ?

bartaba · 11-08-2021 11:01:23

Bonjour
J'ai pleine confiance dans les paquets debian, mais qu'en est-il des flatpak ?
Est-ce sécurisé ? Comment savoir si des logiciels installés en flatpak ne contiennent pas de backdoors ou je ne sais quoi d'autre ?

otyugh · 11-08-2021 11:56:38

C'est... Une bonne question. Quoiqu'il faut moins se poser la question en tant que sécurité qu'en tant que confiance.

Quand on utilise debian, on fait confiance à la team Debian.

Flatpak est un autre univers entièrement. Je crois pas qu'il y ait vraiment de review systématique par une équipe flatpak, je suppose que la confiance est à donner au développeur de chaque "packaging flatpak" individuellement.
- Il serait intéressant de voir historiquement si des logiciels flatpak ont manqué de réactivité à corriger des failles ou ont fait des coups de traître... Je n'ai pas d'exemple en tête. Vu le modèle, je dirai que c'est assez inévitable, et qu'on devrait en installer le minimum possible (ou pas du tout) pour être tranquile d'esprit.

Mais ce n'est que mon opinion. Des distro "professionnelles" comme Ubuntu n'ont eu aucun scrupule à piocher dedans pour beaucoup de logiciels par défaut (ce qui semble un peu étrange pour une distro, mais voilà >_<).

Dernière modification par otyugh (11-08-2021 12:04:12)

--gilles-- · 11-08-2021 13:34:37

Et pourquoi pas utiliser des snap ?

J'ai voulu continuer à utiliser firefox sur tous les sites et éviter d'utiliser chromium. Et comme firefox-esr doit aussi être compatible avec les vieilles versions de Debian, il n'est pas aussi en avance que certains sites l'exigent.

Ce qui m'a amener à faire une exception à ma réticence à doublonner certaines bibliothèques et donc à utiliser snap. D'autant plus les logiciels installés par snapd sont isolés ( bibliothèques statiques ) plus sandbox et supervisés par Apparmor :
https://snapcraft.io/docs/security-sandboxing

Pour plus de précisions :
https://debian-facile.org/doc:systeme:snap

Yanatoum · 11-08-2021 16:11:38

Et pourquoi pas utiliser des snap ?

Connaissais pas. Merci pour l'info

otyugh · 11-08-2021 16:32:52

...En plus je me suis gouré, c'est pas flatpak chez ubuntu, c'est snap >_<

Flatpak a été développé par RedHat, et Snap par Canonical (Ubuntu).

La comparaison dans le détail est... Assez intéressant quoiqu'un peu trop complet

https://github.com/AppImage/AppImageKit … comparison

Dernière modification par otyugh (11-08-2021 16:35:38)

jce76350 · 11-08-2021 16:48:47

Et pourquoi ne pas utiliser Firefox version Standard ou Nightly avec le fichier direct de mozilla.org dans le dossier /opt/ : Exemple

bartaba · 11-08-2021 20:55:49

Merci pour vos réponses.
Snap c'est plus ou moins le même principe que flatpak il me semble ?
Flatpak me semblait être une bonne alternative pour installer des logiciels non disponibles dans les dépôts d'une distribution, que ce soit debian ou n'importe quelle autre distrib, mais je deviens assez réticent. On n'a aucune garantie sur l'intégrité des logiciels installés de cette manière.
Je pense que je vais éviter ça pour le moment.

vv222 · 11-08-2021 21:32:29

On discutait de ce sujet il y a peu de temps sur debian-fr.org : Flatpak - pour quoi faire ?

Caribou22 · 11-08-2021 23:06:43

Bonjour

Sur Flatpak, il y a de tout. On peut s'en servir pour installer la dernière version de Libreoffice qui est libre et qui ne devrait pas poser de problèmes de sécurité. Mais on peut aussi s'en servir pour installer un logiciel propriétaire comme Skype, ce qui pose davantage de questions aux niveaux de la sécurité et la confidentialité.

Idem pour Snap, le principe étant le même.

Dernière modification par Caribou22 (11-08-2021 23:06:59)

bartaba · 12-08-2021 00:32:25

vv222 a écrit :

On discutait de ce sujet il y a peu de temps sur debian-fr.org : Flatpak - pour quoi faire ?

intéressant

--gilles-- · 13-08-2021 19:19:06

bartaba a écrit :

Merci pour vos réponses.
Snap c'est plus ou moins le même principe que flatpak il me semble ?
Flatpak me semblait être une bonne alternative pour installer des logiciels non disponibles dans les dépôts d'une distribution, que ce soit debian ou n'importe quelle autre distrib, mais je deviens assez réticent. On n'a aucune garantie sur l'intégrité des logiciels installés de cette manière.
Je pense que je vais éviter ça pour le moment.

Avec Flatpak, les bibliothèques sont isolées du reste du système et il y a un bac à sable ( sandbox ) tandis qu'avec Snap il y a aussi en plus la sécurisation par Apparmor. Avec Snap il vaut mieux utiliser une distribution qui utilise déjà Apparmor comme Debian plutôt que d'utiliser Fedora qui utilise SELinux.

https://fr.wikipedia.org/wiki/Flatpak

https://fr.wikipedia.org/wiki/Snap_(ges … nfigurable

Je peux vérifier que les profils et les processus snap sont lancés en mode sécurisation renforcée :

apparmor_status | more

apparmor module is loaded.

36 profiles are loaded.

34 profiles are in enforce mode.

   /snap/core/11420/usr/lib/snapd/snap-confine

   /snap/core/11420/usr/lib/snapd/snap-confine//mount-namespace-capture-helper

  /usr/bin/evince

   /usr/bin/evince-previewer

[...]

20 processes have profiles defined.

18 processes are in enforce mode.

   /usr/lib/telepathy/mission-control-5 (1689) 

   /usr/sbin/cups-browsed (1043) 

   /usr/sbin/cupsd (1032) 

   /usr/lib/cups/notifier/dbus (12417) /usr/sbin/cupsd

   /usr/lib/cups/notifier/dbus (12418) /usr/sbin/cupsd

   /usr/sbin/haveged (602) 

   /snap/firefox/574/firefox-bin (4894) snap.firefox.firefox

   /snap/firefox/574/firefox-bin (5559) snap.firefox.firefox

   /snap/firefox/574/firefox-bin (5666) snap.firefox.firefox

   /snap/firefox/574/firefox-bin (5817) snap.firefox.firefox

   /snap/firefox/574/firefox-bin (5902) snap.firefox.firefox

   /snap/firefox/574/firefox-bin (6087) snap.firefox.firefox

   /snap/firefox/574/firefox-bin (6151) snap.firefox.firefox

   /snap/firefox/574/firefox-bin (6394) snap.firefox.firefox

   /snap/firefox/574/firefox-bin (6780) snap.firefox.firefox

   /snap/firefox/574/firefox-bin (6822) snap.firefox.firefox

   /snap/firefox/574/firefox-bin (6885) snap.firefox.firefox

   /snap/firefox/574/firefox-bin (7658) snap.firefox.firefox

bartaba a écrit :

On n'a aucune garantie sur l'intégrité des logiciels installés de cette manière.

Avec Flatpak, je l'ignore, avec Snap, je pense que la garantie est sensiblement la même que pour les paquets Ubuntu :

file-R3b2e9bd56bfba51195334333e613480a

En résumé, j'ignore si Flatpak est fiable, mais j'ai des arguments pour trouver Snap fiable.

Dernière modification par --gilles-- (13-08-2021 19:24:23)

bartaba · 14-08-2021 09:51:48

@--gilles-- merci pour les explications

Croutons · 14-08-2021 10:03:10

hello
niveau sécurité c'est peut être fiable , mais de mon expérience on peu tombé sur des versions bug
non pas que cela provienne de la version proposé mais plutôt de la façon qu'a été créé le conteneur
donc il faut pas se dire que l'application ne vaux rien si cela ne fonctionne pas
j'ai eu le cas sur simple-recorder
du coup je l'ai compilé et l'application fonctionnait bien mieux

Debian-facile

#1 11-08-2021 11:01:23

flatpak : est-ce fiable ?

#2 11-08-2021 11:56:38

Re : flatpak : est-ce fiable ?

#3 11-08-2021 13:34:37

Re : flatpak : est-ce fiable ?

#4 11-08-2021 16:11:38

Re : flatpak : est-ce fiable ?

#5 11-08-2021 16:32:52

Re : flatpak : est-ce fiable ?

#6 11-08-2021 16:48:47

Re : flatpak : est-ce fiable ?

#7 11-08-2021 20:55:49

Re : flatpak : est-ce fiable ?

#8 11-08-2021 21:32:29

Re : flatpak : est-ce fiable ?

#9 11-08-2021 23:06:43

Re : flatpak : est-ce fiable ?

#10 12-08-2021 00:32:25

Re : flatpak : est-ce fiable ?

#11 13-08-2021 19:19:06

Re : flatpak : est-ce fiable ?

#12 14-08-2021 09:51:48

Re : flatpak : est-ce fiable ?

#13 14-08-2021 10:03:10

Re : flatpak : est-ce fiable ?

Pied de page des forums